什麼是 ISO27001?

在資安事件頻傳的近幾年,企業開始重視資安系統的建置,ISO 27001 也因此逐漸成為主流的資訊安全架構。

資訊為企業中重要的資產,左右企業的營運策略。沒有妥善的保護資訊,一旦發資訊安全事件,將會對企業造成不良影響。資訊安全是為了防範資訊遭受到不正當的侵害,以確保營運的持續性。
資訊安全為保護資訊的下列三項" CIA "特性:
機密性( Confidentiality ):確保資訊只有經過授權的人員、程序才可以取用。
完整性( Integrity ):確保資訊的準確度與完全性。
可用性( Availability ):確保資訊在需要時可以被存取。

資安事件的發生往往會對企業造成商譽受損以及法律的處罰。而要達到 100% 的資安防護則因為人為的疏失、資安攻擊的進步,成為一種不切實際的期望。因此資訊安全管理系統( ISMS 系統)的目標是透過 PDCA:
計畫( Plan ):建立管理資安風險的目標及改進資安系統的相關政策、控制措施
執行( Do ):實際運行計畫的政策、控制措施
查核( Check ):依據執行的成果檢查與預計目標的差異
行動( Act ):提出修正方案縮減成果與目標的差異,使下次計畫更加完善
等 4 階段的循環,透過不斷的審視與改進資安系統,將資訊安全風險降至可接受的範圍,保護資訊的機密性、完整性與可用性。ISO 27001 就是採用 PDCA 流程建構 ISMS 系統的準則。

ISO 27001 協助建立資安管理週期與風險管控
ISO 27001:2013 是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施,以及控制並降低資訊安全事件所帶來的威脅和衝擊。
ISO 27001 於 2005 年推出,因為技術的蓬勃發展、設備型態的更迭,2013 年 ISO 27001 進行了再版,改版後的 ISO 27001 刪減了不合時宜的內容,將 ISO 27001:2013 分為兩個部分,主條款強調應決定可接受的資安風險並以此建立完整的管理週期。附錄 A 則是提供 133 項控制措施,對管理面、制度面與技術面三者進行詳細的風險控制規範。
ISO 27001 給予明確的 PDCA 流程,並透過對管理面、制度面與技術面的規範,協助企業建立良好的 ISMS 系統。並且適用於各類型的產業,包含金融機構、醫療機構、政府組織、高科技產業等,都能建立資訊安全管理系統。也因此 ISO 27001:2013 成為世界上最廣泛運用的資安系統準則。

為什麼要通過 ISO 27001 認證?

ISO 27001 已是世界主流的資安系統標準,能夠有效保護企業的資訊安全,確保 ISMS 系統有計畫地持續發展。通過 ISO 27001 認證能夠帶來以下好處:
增加信任感:通過 ISO 27001 認證,代表企業內部已建立一套有效的資安管理體系,能夠承受一定程度的資安風險,增加商業往來的可信度以及顧客對企業的信任感。
通過法律規範:世界各國對於資訊安全越來越重視,因此資安相關法令也逐漸增加,其中不乏要求相關機構需通過 ISO 27001 認證以符合法規。如台灣的《資通安全管理法》中就規範 A、B、C 級機構需於期限內通過 ISO 27001 認證。
提升資安系統的安全:透過 ISO 27001 的 PDCA 流程,使企業需不斷地對資安系統進行檢視,能夠及時發現資安系統的缺陷與不足,並做出修補,讓企業的資安系統的安全性獲得提升。

資料來源:https://medium.com/upas/%E5%85%A8%E9%9D%A2%E8%A7%A3%E6%9E%90iso-27001%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E7%B3%BB%E7%B5%B1-3f0441f3ce40

2024年 高碧香港有限公司版權所有